OCSP 的工作原理是什么?
当提出证书有效性请求时,OCSP 请求会提交给 OCSP 响应者,OCSP 响应者是由签发 CA 运营的服务器。OCSP 响应者通过可信 CA 检查请求的有效性,该 CA 会告知证书是否有效,且响应为当前、撤销或未知。最流行、广泛使用的 Web 浏览器支持 OCSP,包括 Apple Safari、Internet Explorer、Microsoft Edge 和 Mozilla Firefox。
OCSP 和 CRL
Web 浏览器使用多种方法来检查网站的证书是否已被撤销。OCSP 和 CRL 是最常见的两种。CRL 是包含 CA 撤销的所有证书的序列号的列表。但是,CRL 可能会带来问题,因为它们可能会过时,必须下载。
OCSP 安全协议用于发现证书的撤销状态,并包含声称证书尚未撤销的签名。这使得它成为一个更有效和高效的验证过程,因为它不需要下载列表来发现证书的状态。
OCSP 钉合
OCSP 检查确实会导致自身的问题,包括 CA 成本增加以及对隐私的担忧。例如,实时 OCSP 检查可能会泄露私密浏览数据,因为请求是在未加密的超文本传输协议 (HTTP) 流量上发送的,并绑定到特定证书。因此,发送请求会告诉 CA 用户访问哪些网站,并且浏览器和 OCSP 之间网络路径上的任何人都会看到他们访问的网站。它还可能导致浏览器性能问题,例如由第三方确认证书有效性而导致的缓慢浏览体验。
其中一些问题可以通过 OCSP 钉合来解决,OCSP 钉合是一种向浏览器提供撤销信息的技术。证书钉合过程涉及将当前 OCSP 响应钉入 HTTPS 连接。这需要服务器和浏览器之间的流量更少,然后不再需要请求 OCSP 本身。
点击查看大图